GDPR - General Data Protection Regulation

GDPR

by SerHack


Il Regolamento Generale sulla Protezione dei Dati in vigore dal 25 Maggio 2018 stabilisce le nuove regole per trattare i Dati Personali all’interno della Comunità Europea e disciplinare l’esportazione dei Dati Personali al di fuori dei confini UE. Il Regolamento UE 2016/679 (General Data Protection Regulation, abbreviato GDPR) si applica non solo ai cittadini dell’Unione Europea ma anche agli Enti che risiedono al di fuori dei Paesi membri.
Pubblicato e approvato nell'aprile 2016,

La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.


Dal diritto della privacy sancito nella Carta dei diritti fondamentali dell'Unione Europea e dagli ultimi incidenti riguardanti la mal-gestione di dati personali (casi eclatanti come Uber etc..), ne deriva la conclusione di formulare una legge che possa tutelare i dati dei cittadini Europei.

GDPR: le novità

Il GDPR introduce nuove procedure standard per la gestione dei dati, in estrema sintesi, essa propone:

  • regolamentazione del diritto alla cancellazione dei dati
  • un nuovo concetto di responsabilizzazione, secondo la quale l'azienda risponde in ogni caso per ogni dato e/o informazione personale che le appartiene;
  • criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • norme per i casi di violazione dei dati (data breach).
  • il Responsabile della protezioni dati (DPO), nuova figura lavorativa; svolgerà tutti i compiti tecnici per assicurarsi che i dati siano gestiti tramite una procedura standard, corretta e efficace, seguendo le direttive europee.

Diritto alla cancellazione

L'articolo 17 del documento presente sulla Gazzetta Ufficiale sottolinea come esiste un diritto alla cancellazione di dati per chiunque senza ingiustificato ritardo. Sarà compito dell'azienda a far in modo che i dati personali vengano cancellati e distrutti secondo la normativa europea nel minor tempo breve possibile, sempre se l'utente abbia il diritto di fare richiesta di cancellazione.

La rivendicazione di questo diritto da parte dei titolari dei dati potrà essere eseguita solo in alcuni casi:

  • le informazioni personali non sono più necessari per le finalità per le quali sono stati raccolte
  • i dati sono stati trattati in modo illecito
  • i dati sono stati trattati per marketing diretto e mirato all'utente
La regolamentazione pero' pone anche dei limiti al diritto: su dati di natura giudiziaria, legale, di ricerca scientifica o di interesse nella sanità pubblica, non si potrà esigere, giustamente, il diritto alla cancellazione delle proprie informazioni personali.

Sottolineo inoltre che il diritto alla cancellazione non equivale dalla rettifica o dalla richiesta di cancellazione di dati inesatti su un ente o persona fisica; in questo caso ci si può appoggiare su altre normative che consentono, attraverso specifiche richieste e diritti, la cancellazione e/o la correzione dei dati.

Responsabilità

È stato introdotto il diritto di contestazione delle decisioni automatizzate, compresa la profilazione (Articolo 22). I cittadini hanno ora il diritto di contestare e contrastare decisioni che hanno impatto su di loro e che sono state realizzate unicamente in base ai risultati di un algoritmo.

I principi di Privacy by Design and by Default (Articolo 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi.

E’ richiesto, quindi, al titolare di adottare ed attuare misure tecniche e organizzative che tutelino i principi di protezione dei dati sin dal momento della progettazione oltre che nell’esecuzione del trattamento.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamento a un altro, non necessariamente per gli stessi scopi. Questa, inoltre, permette la richiesta, da parte dell'utente finale, dei dati personali in maniera chiara e leggibile.

L’obiettivo di tale diritto è quello di accrescere il controllo degli interessati sui propri dati personali, facilitandone la circolazione, la copia o la trasmissione da un ambiente informatico all’altro.

La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.

In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personali verso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Data breach

Per “Violazione di dati” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (Articolo 4 GDPR).

L’articolo 33 del GDPR, prescrive al titolare di documentare qualsiasi violazione dei dati personali, al fine di consentire all’autorità di controllo di verificare il rispetto della norma.

Ne discende che le generali attività di scoperta dell’incidente, come le successive di trattamento, devono essere documentate, adeguate (devono riportare le violazioni, le circostanze, le conseguenze ed i rimedi), tracciabili, replicabili ed essere in grado di fornire evidenza nelle sedi competenti.

Al momento senza GDPR, già esiste l’obbligo di notifica delle violazioni di dati personali per particolari categorie di titolari (società telefoniche ed internet provider; pubbliche amministrazioni) o per particolari categorie di trattamenti (sistemi biometrici, dossier sanitario).

Data Protection Officer

Il Data Protection Order (chiamato anche Responsable della Protezione dei Dati Personali) è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi. Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

Tuttavia quasi tutto ciò che si sa ad oggi sul DPO è frutto di interpretazione del gruppo degli esperti in materia giuridica e dei garanti nazionali. In realtà, l’articolo 37 del Regolamento non specifica quali debbano essere le qualità professionali necessarie per rivestire la figura del DPO. Si sottolinea chiaramente, però, come il soggetto prescelto debba possedere comprovata esperienza sulla regolamentazione relativa alla protezione dei dati personali sia nazionale che europea, sulle prassi oltre che una approfondita conoscenza del Regolamento.

Sanzioni

Nell’analisi della sezione delle sanzioni del GDPR ci si concentra sulle rilevanti cifre previste dall’articolo 83, che arrivano a colpire Titolari e Responsabili con sanzioni amministrative fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo.

4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) i principi di base del trattamento

La decisione sull’applicazione delle sanzioni spetta alle cosiddette "autorità di controllo" che in Italia è l’Autorità Garante per la Protezione dei Dati Personali, che, nella valutazione, tiene conto dei fattori secondari del singolo caso, ossia:

  • della natura, gravità e durata della violazione
  • del carattere doloso o colposo della violazione
  • delle misure adottate per attenuare il danno subito dagli interessati
  • delle eventuali precedenti violazioni commesse dal titolare del trattamento
  • del grado di cooperazione con l’autorità di controllo
  • degli eventuali altri fattori aggravanti

Conclusione

Per concludere, consiglio a tutte le aziende di farsi consigliare da un esperto giuridico, il quale, dopo aver analizzato la situazione della gestione burocratica interna dei dati, vi consiglierà tutte le procedure da attuare per regolamentare l'azienda al GDPR.

Dal momento che l'efficacia di questa regolamentazione si vedrà in un prossimo futuro, non resta che, a noi utenti finali, sperare per il meglio e auspicare che non succedano più episodi mal-gestiti come, ad esempio, il data breach di Uber.

La privacy è un elemento essenziale per l'uomo; sancito anche nella dichiarazione dei diritti fondamentali (Articolo 12), non è altro che il diritto alla riservatezza. Bisognerebbe rammentare a qualcuno, a cui potrebbe non importare tutto il discorso, che solo quando si perde la privacy, ci si accorge di quanto sia importante.

Privacy non significa nascondere agli altri la mia vita privata. Significa evitare che la vita privata degli altri irrompa nella mia.

Jonathan Franzen
About Me
Hi, I am SerHack. A developer and security researcher.